利用谷歌Firebase对微软Office365进行攻击

究人员发现，至少已经有2万个邮箱收到了恶意攻击邮件，这些邮件内容主要是分享电子资金转移(EFT)支付的信息。这些钓鱼邮件的主题栏写的非常简短，只有"TRANSFER OF PAYMENT NOTICE FOR INVOICE"的字样，还含有一个从云端下载 "发票 "的链接。

点击该链接浏览器就开始了一系列的重定向操作，最终将用户引导到了一个带有微软Office logo的页面，研究人员发现该页面托管在谷歌的Firebase上。那个页面是一个钓鱼页面，这样可以很容易的获取微软用户的登录密码、二级邮箱地址和电话号码等重要的个人信息。

攻击者可以利用这些信息来接管账户并窃取个人信息，同时他们也可能会利用这些信息进行其他方面的攻击。

据Armorblox 说："由于所有工作账户都是紧密联系的，账户的凭证被窃取是非常危险的，因为网络犯罪分子会以你的名义发送电子邮件来欺骗你的客户，合作伙伴和家庭成员"。

对微软Office 365的攻击流程

邮件中的链接会让用户下载一个名为 "付款通知-PDF "的文件。它会将用户引导到一个登陆页面，研究人员表示，该页面的右上方有一个 "下载 "按钮。当鼠标悬停在链接上时，页面显示该文件托管在谷歌的Firebase上。Firebase是一个用于定制Web和移动应用程序的开发环境。

Armorblox研究员Rajat Upadhyaya周四在博客中解释道:"下载的'发票'的文件名中可能有PDF，但它实际上是一个HTML文件，打开这个HTML文件会加载一个带有Office 365 logo的iframe。该页面会显示一个缩略图和一个查看发票的链接。"

点击缩略图或 "查看文件 "链接会进入到最后的钓鱼页面中，页面要求受害者用他们的微软凭证进行登录，并要求他们提供备用的电子邮件地址或电话号码。这是犯罪分子在尝试收集更多的数据，这样可以绕过双因素认证(2FA)或账户恢复机制。

在输入了账号信息之后，登录页面会重新加载一个错误信息，要求用户输入正确的账号信息。

Upadhyaya说："这可能是网站存在一些后端验证机制，会检查输入的信息的真实性。另一种情况是，攻击者可能在尝试用这种方式来获得尽可能多的电子邮件地址和密码，无论输入的正确与否，都会一直出现错误信息。"

绕过本地电子邮件安全策略

此次攻击活动最大的特点是采用了大量的技术手段避开了电子邮件安全防御系统。

研究人员指出："这种电子邮件攻击绕过了原生的微软电子邮件安全控制系统，微软给这封邮件分配的垃圾邮件可信度(SCL)为'1'，这意味着微软没有将这封邮件判定为可疑邮件，反而将其投递到了终端用户邮箱中。"

首先，页面的重定向的流程很复杂，这有助于邮件逃过系统的安全检测，Upadhyaya指出，这种方式是绕过页面安全防御系统的常见策略。

他说："点击邮件链接后会经过一个重定向，并跳转到了一个父域名为'mystuff.bublup.com'的页面上。’’

有趣的是，由于Firebase是一个可信的域名，将HTML钓鱼页面托管在谷歌的Firebase上，电子邮件就可以通过包括Exchange在线保护(EOP)和Office 365的Microsoft Defender 在内的windows内置的微软安全过滤器。

研究人员说："托管在‘Firebase’这样有名的平台上的web网站会欺骗受害者，也很容易绕过电子邮件安全检查技术，让受害者以为点击链接就能找到缩略图中显示的发票。"

Firebase在之前的攻击中已经被利用过很多次了。例如，去年发生了一系列的使用谷歌Firebase托管钓鱼网站进行攻击的活动，这表明网

（编辑：应用网_丽江站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!